信息安全風(fēng)險管理相關(guān)詞匯定義與解析論文

信息安全風(fēng)險管理相關(guān)詞匯定義與解析論文

　　1 風(fēng)險管理概念解析

　　風(fēng)險管理是組織管理活動的一部分，其管理的主要對象就是風(fēng)險。在GB/T 23694—2013 / ISO Guide 73：2009《風(fēng)險管理 術(shù)語》中曾經(jīng)指出，風(fēng)險管理由一系列的活動組成，這些活動包括了標(biāo)識、評價、處理和可能影響組織正常運行事件的整個過程，其準(zhǔn)確的定義為：風(fēng)險管理（risk management）是指在風(fēng)險方面，指導(dǎo)和控制組織的協(xié)調(diào)活動。

　　與風(fēng)險管理定義密切相關(guān)的，還有“風(fēng)險管理框架”和“風(fēng)險管理過程”兩個詞匯。

　　風(fēng)險管理框架（risk management framework）是指為設(shè)計、執(zhí)行、監(jiān)督、評審和持續(xù)改進整個組織的風(fēng)險管理提供基礎(chǔ)和組織安排的要素集合。在GB/T 23694—2013 / ISO Guide 73：2009原文中給了三個有用的注解，分別為：風(fēng)險管理框架是要素集合，這個框架并不是單獨存在的，這就體現(xiàn)了風(fēng)險的特點之一，就是一系列的“點”，這些點是要被嵌入（be embedded）。特別值得指出的是，校準(zhǔn)（align））、整合（integrate）和嵌入（embed）是信息管理安全領(lǐng)域，也是整個管理學(xué)領(lǐng)域的常見詞匯。其中，在戰(zhàn)略層面一般強調(diào)校準(zhǔn)，即無論是信息安全的戰(zhàn)略還是信息系統(tǒng)的戰(zhàn)略，都應(yīng)該與組織的整體戰(zhàn)略保持一致。在更細的策略或流程層次，則強調(diào)整合或嵌入。例如，已經(jīng)有人力資源的管理規(guī)程，需要嵌入安全管理的部分，或者已經(jīng)有事件管理規(guī)程，將其與信息安全事件管理進行整合�？傊�，校準(zhǔn)、整合和嵌入是值得深入研究的三種方法。

　　風(fēng)險管理過程強調(diào)的`是系統(tǒng)化的策略、程序和方法。這三者關(guān)系如圖1所示。

　　風(fēng)險管理過程才體現(xiàn)了信息安全應(yīng)該如何做（how）的問題。

　　嚴格講，風(fēng)險管理不僅僅是過程，是一系列的活動。因此，在下文的圖3中，我們特別指出： 風(fēng)險管理的階段劃分僅作示意。

　　2 風(fēng)險評估及其過程

　　在GB/T 23694—2013 / ISO Guide 73：2009中，風(fēng)險評估并不是作為一個單獨的過程定義的。其中定義為：風(fēng)險評估（risk assessment）包括風(fēng)險識別、風(fēng)險分析和風(fēng)險評價的全過程。

　　風(fēng)險評估的過程在GB/T 23694—2009 / ISO/IEC Guide 73：2002中雖然也是類似的定義，但是當(dāng)時并沒有單獨把“風(fēng)險識別”作為一個單獨的階段�；蛘哒f，在當(dāng)時的定義中，“風(fēng)險識別”是作為“風(fēng)險分析”的一個階段而出現(xiàn)的，詳細定義為：風(fēng)險評估包括風(fēng)險分析和風(fēng)險評價在內(nèi)的全過程。

　　為了更好地理解其中的變化，我們在表1中給出了風(fēng)險評估包括的階段的術(shù)語定義。

　　無論如何劃分，風(fēng)險評估都要完成下面這些活動：

　　在上述三個步驟中，步驟一與步驟二較為通用，或者說，截至到風(fēng)險分析階段，我們需要確定風(fēng)險的等級，這都可以按照通用的標(biāo)準(zhǔn)或方法提前定義好。步驟三則不同，這個步驟需要結(jié)合組織自己定義的風(fēng)險準(zhǔn)則。

　　3 區(qū)分風(fēng)險評估與風(fēng)險管理

　　我們可以簡單地認為，風(fēng)險評估是風(fēng)險管理的一個階段，只是在更大的風(fēng)險管理流程中的一個評估風(fēng)險的階段。如果把風(fēng)險管理理解成一個“對癥下藥”的過程，那么風(fēng)險評估就是其中的“對癥”過程，只是找到問題所在，并沒有義務(wù)解決。而風(fēng)險管理是在整個組織內(nèi)把風(fēng)險降低到可接受水平的整個過程。主要階段包括風(fēng)險評估和風(fēng)險應(yīng)對（risk treatment） ）。

　　風(fēng)險管理是一個持續(xù)循環(huán)，不斷上升的過程，它被定義為一個持續(xù)的周期，每隔一個階段就開始新的循環(huán)，這些循環(huán)要貫穿組織的始終，是組織管理的一部分。風(fēng)險評估則更像“搞運動”，其一般按照一定的時間間隔進行，但是如果發(fā)生組織業(yè)務(wù)變化、出理新的漏洞或基礎(chǔ)機構(gòu)變化等，都可能啟動新的風(fēng)險評估過程。

　　風(fēng)險管理的循環(huán)過程不是在原地踏步的，它的每一次新循環(huán)都應(yīng)該上一個新的臺階，呈螺旋上升的形狀。如圖3所示。

　　這種臺階或者檔次的上升的來源就是組織定期或臨時啟動的風(fēng)險評估，在每一次風(fēng)險評估中都會發(fā)現(xiàn)潛在的問題，并在接下來的風(fēng)險應(yīng)對過程中加以解決，從而使組織管理風(fēng)險的能力得到提升。

　　4 風(fēng)險應(yīng)對概念解析

　　無論風(fēng)險評估步驟進行得多么完美，都只是找到了問題，而解決問題應(yīng)該是組織的最終目的。風(fēng)險應(yīng)對的步驟就是評估、選擇并且執(zhí)行這些改進措施的過程。

　　風(fēng)險應(yīng)對（risk treatment）是指處理8）風(fēng)險的過程。在GB/T 23694—2013 / ISO Guide 73：2009中，對這個定義也有詳細的注解，包括：

　　“風(fēng)險應(yīng)對”定義的注1較為詳細，其中給出了可能的應(yīng)對措施，其中1）規(guī)避風(fēng)險，6）分擔(dān)或轉(zhuǎn)移風(fēng)險以及）接受風(fēng)險，與ISO/IEC 27001：2005的描述基本類似，）為尋求機會而承擔(dān)或增加風(fēng)險更偏重組織業(yè)務(wù)角度視角，3）、4）與5）則是降低風(fēng)險的基本途徑，這三項的任何之一都可以改變目前的風(fēng)險狀況。

【信息安全風(fēng)險管理相關(guān)詞匯定義與解析論文】相關(guān)文章：

1.關(guān)于信息安全風(fēng)險管理初探的論文

2.信息系統(tǒng)項目安全風(fēng)險管理探析論文

3.電子信息安全風(fēng)險管理探討論文

4.網(wǎng)絡(luò)信息安全相關(guān)論文

5.信息安全風(fēng)險管理理論

6.信息安全的風(fēng)險評估論文

7.信息安全風(fēng)險評估綜合管理系統(tǒng)設(shè)計的論文

8.鐵路信息安全相關(guān)的論文